Фабрика взлома: как программисты становятся киберворами и крадут миллионы долларов

«Зовут меня Серега, вы меня знаете по нику „Вор в законе“ на форуме» ― так начинается ролик, который хакер снял про себя и выложил в ютуб. The Washington Times ликовал: так вот ты какой, человек-невидимка, преступник из России, атакующий американцев: лысоватый, сорокалетний, в темных очках, похож на всех телохранителей и гангстеров мира одновременно.

Серега, как в кино из 90х, показывает атрибуты богатства: загородный дом, джип, прислуга и бутерброды с красной икрой. Он нелепо демонстрирует, как хорошо зарабатывают русские хакеры. «Мы гарантируем, что все американские номера будут зафлужены», ― говорит он, снимая стойку с ноутбуками. Из России это видео сразу выглядит фейком, но какое-то время за рубежом верят, что именно так выглядят русские киберпреступники. После развенчания мифа о Сереге этот вопрос так и остается открытым: кто ты, русский хакер, и чего пытаешься добиться взломами Пентагона, Бундестага и банков мирового значения?

Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского», утверждает, что русская киберпреступность существует: «Они занимаются различными видами каких-то хакерских действий».

С ним соглашается основатель кибердетективного агенства Group-IB Илья Сачков: «Они есть, это достаточно большая сила. Важно понимать, что это не всегда граждане России». Аркадий Бух, адвокат «русских хакеров», рисует портрет киберпреступника: «Это молодой человек от 20 до 27 лет, интеллигентный, немного замкнутый, почти никогда не женатый».

Грибодемон, в миру Саша Панин, проснулся от холода и боли в желудке. Неуютная съемная комната и доширак на завтрак, обед и ужин ― это всё, на что хватало зарплаты незадачливого программиста из Твери. Но теперь должна начаться новая жизнь: прошлой ночью Грибодемон наконец-то дописал троян SpyEye, вирус, собирающий логины и пароли. После первой продажи вируса тверской хакер пробудет на свободе всего 2 года. Поймают его в Доминикане, осудят в США на 9,5 лет. Сейчас Саша Грибодемон сидит в тюрьме в Кентукки, с правом переписки через интернет.

Саша рассказал о стоимости вируса и его возможностях: «Изначально уникальность трояна SpyEye продавалась ничтожно дешево, всего по 500 долларов, за аналогичный троян ZeuS давали по 2 тысячи долларов. Но по прошествии времени стоимость поднялась. Однако и уникальный функционал добавился, например, подделка веб-расширений для браузера Firefox была впервые реализована SpyEye, а не ZeuS, или, например, подделка плагинов, позволяющая независимым разработчикам добавлять функционал самостоятельно, а также сбор данных для браузеров Opera и Chrome».

Саша ― один из самых знаменитых хакеров в мире: троян SpyEye, написанный им, поразил больше 50 миллионов компьютеров, в совокупности с помощью вируса клиенты Саша украли миллиард долларов. В прессе Грибодемона назвали «злым гением», никто не ожидал, что особо опасный преступник, разыскиваемый Интерполом, окажется парнем из Твери. Вот и мама, местный предприниматель, торгующий в розницу, долго не могла поверить, что это правда.

«Мне кажется, он родился с этим. Я думаю, что он сам этого хотел, потому что, в принципе, закончив наш тверской колледж, иметь такой талант… Наверно, он сам себя развивал», ― полагает Инесса Розова, мама Саши.

Саша много говорил о трансгуманизме и радикальном продлении жизни, вспоминает Инесса Викторовна. Чтобы спасти человечество, были нужны инвестиции, а в Твери с ними плохо. Только ради великой цели сын мог пойти на преступление ― вот версия, в которую верит семья Саши: «Сначала достижение продолжительности жизни, а потом уже практическое бессмертие. Это его волнует, поэтому, наверно, он стал писать эту программу. То есть была задача заработать деньги на исследование».

Спасителя человечества вытащил из беды другой русский, но уже в Америке ― адвокат Аркадий Бух. Саше Грибодемону грозило тридцать лет заключения, но признание и сделка со следствием сократили срок в три раза. К Буху попадают практически все русские хакеры, экстрадированные в Штаты, на его счету около 40 дел. Он смотрит на активность целого региона с юридической точки зрения: наши хакеры такие деятельные, потому что безнаказанные.

«Я это слышу от самих хакеров, которые, по сравнению с хакерами в Западной Европе и Америке, могут позволить себе вкладывать тысячи и тысячи часов в эксперименты, которые в конечном итоге приводят к удачному вторжению в определенную систему. Американские же хакеры на второй-третьей попытке после нескольких десятков часов, вложенных в подобную атаку, будут арестованы», ― рассказывает Аркадий.

Бух специализируется на хакерах не просто так: у них всегда есть деньги, чтобы щедро оплатить услуги. А недавно предприимчивый адвокат создал кибердетективное агентство, в котором работают бывшие подзащитные ― так раскрученный на весь мир негативный бренд «русские хакеры» стал приносить чистый доход. Возможно, к бизнесу после тюрьмы присоединится и Саша Грибодемон. «Компьютерные аналитики из Нью-Йоркского и Колумбийского университетов ― прекрасные специалисты, но в реальности это люди, которые никогда своими руками не проводили атаку. Многие компании понимают, что лучше брать тех людей, которые знают изнутри, как это делать», ― признается Аркадий.

На первые 500 долларов от продажи вируса Саша Грибодемон заплатил за комнату, купил хлеб, нутеллу и коробок плана ― таков был первый вклад в идеи трансгуманизма.

«Я написал этот софт и продал его людям за фиксированную плату. Эти люди строили бот-сети и анализировали собранные логины и пароли, писали дополнения, крали и отмывали деньги. Я принимал деньги через WebMoney, сейчас это неактуально, так как есть биткоины. Клиенты меня находили на форумах, где я свой софт рекламировал», ― рассказывает Саша.  

Больше 1000 парней в хороших костюмах собрались в культурном центре ЗИЛ на конференции по кибербезопасности. Её организует Group-IB ― команда детективов, вышедших из стен Бауманки, специализирующихся на ловле русских хакеров. Генеральный директор группы Илья Сачков начинает выступление с запугивания публики:

«Почему я показал автомат Калашникова? Инструмент, который организованная преступность использует для кражи денежных средств, точно такой же, какой используют шпионы для похищения информации. Кибертеррористы могут использовать абсолютно такой же инструмент для компрометации критической инфраструктуры».

«90% кибератак ― банальное воровство, а не шпионаж или политика» ― такой диагноз ставит киберсообществу Илья Сачков. Простым смертным хакерам не интересны ни ваша личная переписка, ни письма Обамы.

Другой герой материала, кардер Сережа, снимает скромную двушку в Люблино. А ведь когда-то он украл с американских карточек миллион долларов. С русских и белорусских карточек нечего воровать, признается он: «Туда переводится зарплата раз в месяц, тут же обналичивается в банкомате, и все». Деньги Сергей Павлович потратил быстро, в основном на женщин, машины и наркотики. Сам себя он называет себя обычным мошенником, никакой романтики, только жажда обогащения. Освоил технологию списывания денег с пластиковых карт, просто читая форумы. Именно там, на форумах, продают данные, украденные такими троянами, как уже упомянутый SpyEye Саши Грибодемона.

Товар на кардерских форумах бывает двух типов. Первый: номер карты со всеми реквизитами, включая CVV, цена от 50 центов за штуку. Эту информацию обычно воруют через интернет-магазины и их поддельные копии. Карта с такими данными стоит дешево, потому что воспользоваться ей непросто: большинство операций запрашивают смс-подтверждение.

 Второй тип товара: «дамп» (от английского слова dump ― слив) ― информация, записанная на магнитную ленту карты. Их цена ― 10 долларов за штуку. Такая информация стоит дороже, потому что ей воспользоваться легче. Если записать чужие данные на поддельную карту еще за 5 долларов, то, потратив в общей сложности 15 баксов, можно купить товаров в магазине, например, на тысячу. Сергей рассказывает:

«Это самое доходное, что мог сделать хакер. Взломать базу дампов в какой-нибудь крупной сети типа Walmart, за раз ― сорок-пятьдесят миллионов дампов. И продать, естественно, потому что самому записать на болванки и отработать такое количество нереально».

Попался Сергей в родном Минске, но его не выдали США, как Грибодемона. Отсидел весь срок ― 10 лет ― на родине. Успел написать книгу «Как я украл миллион». Сергей говорит, что его подвела жадность ― слишком много стал обналичивать. Если бы списывал по 1000 долларов в месяц, кормиться можно было бы всю жизнь. Интерпол мелочь искать не станет ― и это еще одна причина, по которой Сережу, как и других русскоязычных хакеров, манят именно американские счета:

«Учитывая, что ты находишься сам, допустим, на Украине, действуешь через ломаный удаленный сервер в какой-нибудь Бельгии, а крадешь в США, размотать такую цепочку будет достаточно долго и дорого. Поэтому если ты украл на 500, на 1000 долларов, банку проще это на убытки списать, страховку получить за них и все. В конечном итоге только страховая компания понесет убытки».

Американский доллар по-прежнему привлекает Сергея. Теперь, когда он решил встать на путь исправления, бывший кардер открыл бизнес по продаже гипсовых стодолларовых купюр. Бренд LuckyBucks переводится как «счастливые деньги». Торговля идет медленно, но Сергей верит, что «легкими деньгами» он больше не прельстится, хотя соблазн велик ― слишком просто залезть в чужой карман.

«Украсть через интернет, конечно, морально и психологически гораздо проще, чем в автобусе залезть в карман чей-то и кошелек вытащить, это однозначно. Во-первых, расстояние, во-вторых, воспринимается как игра, а не серьезный криминал. Это же не то, что с ножом бегать, размахивать», ― признается Сергей.

Создателей трояна Lurk искали с 2011 года ― с российских банковских счетов киберпреступники списали почти 3 миллиарда рублей. Вот как действовал вирус Lurk ― прямой потомок трояна SpyEye, написанного Сашей Грибодемоном. Как и положено трояну, он сначала прикидывался кем-то другим, например, очень важным письмом в почте. Он сам себя устанавливал и работал как разведчик, чтобы вычислить «полезный» компьютер ― тот, с которого можно дистанционно управлять счетами клиентов. Как только Lurk находил жертву, он тут же просил у головного штаба подмоги, и она приходила в виде второй части вируса. Эта команда подменяла реквизиты платежей, и сотни тысяч рублей утекали на счета подставных лиц. Всего в банду Lurk, которая обслуживала сеть зараженных компьютеров, входило больше 40 человек.

Александр Вураско, замначальника отдела по борьбе с киберпреступностью, был в числе тех, кто ловил Lurk. Банда была устроена по универсальной схеме для грабежей. Один или два хакера, остальные участники ― мелкие мошенники, которые обналичивают краденые деньги. Как раз эта часть группы оставляет следы и попадает в разработку оперативников:

«Они занимались изготовлением скиммингового оборудования, сами делали накладки, нанимали и обучали людей, которые занимались установкой накладок на банкоматы. Такие накладки позволяют получить сведения, содержащиеся на магнитной полосе банковской карты, и PIN-код, на основании чего можно изготовить дубликат карты. Помимо этого, они разработали программные аппаратные комплексы, позволявшие перехватывать контроль над банкоматом, то есть можно было подать на банкомат команду выдать все имеющиеся в нем деньги».

Вураско не раскрывает статистику. Узнать официальные данные о том, насколько эффективно в России борются с киберпреступностью, невозможно. Зато есть судебная статистика. В России с 2011 по вторую половину 2016 года по статьям 272 (неправомерный доступ к компьютерной информации) и 273 (создание и распространение вредоносного ПО) осудили лишь 44 человека. И хотя сажают в России редко, грабить за рубежом безопасней, ведь преступление дольше расследуют. Поэтому теперь, когда российские банки вооружились антивирусами, русские хакеры снова атакуют Америку и Европу ― это тренд новой волны.

Впрочем, Вураско откровенен в другом: он признался, что тяжело искать новых сотрудников в отдел «К» ― многие выпускники технических вузов предпочитают уйти в серую сферу безграничных возможностей и доходов:

«Во многих компаниях, работающих в области информационной безопасности, есть проблема с подбором кадров, потому что киберпреступность позволяет обеспечить такой уровень дохода, какой не обеспечит ни одна легальная компания».

Вураско по первому образованию юрист, второе получал в Бауманке. Русские антихакеры ― зеркальное отражение своих оппонентов. И хотя среди тех и других много самоучек, элита хотя бы косвенно, но всегда связана с российской классической математической школой. Даже Грибодемон ― Саша Панин ― хоть и учился в тверском колледже, но его отец ― советский программист, именно он преподал сыну первые уроки.

Грибодемон снимал квартиру в центре Москвы, и ему очень нравился вид из окна. С первой продажи трояна прошло полтора года, денег стало много, но из ценных приобретений ― только ноутбук. Ни машины, ни квартиры Саша Панин покупать не стал, в дорогие рестораны не ходил. В последнее время у него была депрессия, чтобы спастись от нее, он решился полететь в Доминикану. Там его и задержали.

«Я допустил ошибку в самом начале. В детали вдаваться смысла нет, но, чтобы иметь представление посмотрите историю создателя SilkRoad, самой знаменитой торговой площадки в сети Tor, где 70% „товара“ составляли наркотики. Так вот, насколько я помню, Росс Ульбрихт набирал фрилансеров для своего нового проекта типа „открытый рынок“ через аккаунт, зарегистрированный на собственное имя. Почему? Потому что в самом начале он так же, как и я, никогда бы не подумал, что его проект сможет вырасти в „нечто“. Это не то чтобы невнимательность, это отсутствие адекватного прогнозирования», ― резюмирует Саша.

Парни в хороших костюмах вглядываются в лица друг друга и пытаются вычислить, кто же из них хакер. Киберпреступники обязательно ходят на конференции по кибербезопасности, а на тысячу человек всегда найдется парочка «политических диверсантов», тех, что взломами серверов и сливами переписки вызывают международные скандалы. Сразу четыре американские компании по киберзащите ― Threat Connect, FireEye, CrowdStrike и iSight Partners ― считают, что политические русские хакеры существуют.

Аналитики собрали на хакеров подробное досье. Группировка Fancy Bear («Модный мишка») взяла ответственность за атаки на ВАДА и Демократическую партию США, группировке Cozy Bear («Уютный мишка») приписывают взломы сайтов Белого дома и Госдепа. Русская команда APT-28, как говорят эксперты, ломала Бундестаг, НАТО, пакистанскую армию. Все эти группы оставили такие цифровые улики, которые позволяют аналитикам говорить, что на самом деле это одна хакерская команда, назови ее Fancy Bear, APT28 или Strontium. CrowdStrike уверяет, что работает она на российские спецслужбы.

Но часто за громкими политическими взломами стоят вовсе и не хакеры, а обычные разведчики, которые смогли слить нужную информацию на флешку, рассказывает Льюис, лидер неуловимой кибергруппировки «Анонимный Интернационал», той самой, что взламывала iCloud Дмитрия Медведева. По словам Льюиса, полевые сотрудники могут заниматься коррумпированием нужного человека с доступом в нужной структуре:

«А потом можно придумать хакерскую группу и „отмыть“ информацию. Технически это тоже вполне выполнимо. Цена зависит от заказчика. От бесплатной работы до сумм с большими нулями».

«Славу» русским хакерам приносят именно политические взломы, хотя за ними всегда стоит киберпреступник «под прикрытием», а не настоящий хакер, потому что ни один здравомыслящий вирусописатель не станет переходить дорогу международным спецслужбам. Он лучше по-тихому украдет миллион, а то и миллиард долларов. В этой части промысла русские отличились тем, что из девятнадцати самых популярных в мире троянов шестнадцать написаны «нашими». Они активно воруют при помощи вирусов сами и продают технологию за рубеж. Во всем мире, даже в Европе и Америке, киберпреступников ловят плохо. А истории задержания Сергея Павловича и Саши Грибодемона ― исключение из правил.

В письме Грибодемон прокручивал в голове все события, которые привели его в тюрьму в Кентукки, и в который раз не почувствовал раскаяния: «Помню, я думал, кем стать: ученым-исследователем или преступником. Понимаете, в чем дело, я вырос в семье частных предпринимателей, был научен тому, что деньги зарабатываются большим трудом. Когда я объявил семье, что в будущем буду заниматься проектами радикального продления жизни и мне хочется получить образование биотеха, на меня посмотрели, как на идиота, и сказали: „Саша, спустись с небес на землю“. Это в результате стало одной из причин, по которой я решил стать преступником. Хотел доказать, что деньги должны быть легкими».

На превью: DepositPhotos